CER:Balancer再遭攻击 DeFi还有未来吗？

作者：

时间：1900/1/1 0:00:00

继6月29日凌晨2点CertiK捕获Balancer攻击事件后《空手套以太：Balancer攻击解析》，北京时间6月29日下午8点整与11点23分，CertiK天网系统（Skynet) 再次检查到两起类似原理的Balancer DeFi合约异常，两起异常分别发生在区块数10360609与区块数10361515。与29日单纯利用合约漏洞的攻击不同，这次黑客巧妙利用了Compund金融模型，无中生有了大量COMP代币。明星DeFi项目，一日内连遭三次攻击，让支持者不禁担忧起整个DeFi市场的未来。

天网扫描

事件概述

6月29日，攻击者从dYdX闪电贷中借到代币并铸币后，通过uniswap闪贷获得cWBTC和cBAT代币，然后将借得的代币在Balancer代币池中大量交易，从而触发Compound协议的空投机制，获得空投的COMP代币，再使用Balancer有漏洞的gulp()函数更新代币池数量后，取走所有代币并归还闪电贷。攻击者相当于利用了Compound协议的金融模型、闪电贷和Balancer代码漏洞，无中生有了COMP，总获利约为11.5ETH。

Huobi：新火科技是独立实体，Huobi Global股权已转让给About Capital:11月14日消息，据Huobi官方推特表示，Huobi控股股东公司于10月8日将其持有的Huobi全球股份全部转让给AboutCapital的基金。新火科技是独立实体，Huobi运营一切正常，将继续提供安全可靠的服务。

此前报道，新火科技（原火币科技）在港交所公告称，子公司Hbit Limited约有等值美元1810万的加密货币存放在加密货币交易平台FTX，由于FTX的集团实体（包括FTX）已于2022年11月11日在美国申请破产保护，因此可能无法从FTX提取上述加密货币资产。[2022/11/14 13:01:28]

CertiK攻击者心理画像

6月29日下午8点与11点的两起攻击使用了相同的手法并且使用了同一个收款地址，确认为一个团队。虽然这两次攻击与29日凌晨2点的攻击均利用了Balancer合约的gulp()，但是攻击手段不同，后两次攻击利用了Compound的金融模型的漏洞而不是单纯的代码漏洞。另外，后两次攻击的获利远小于首次攻击获利，实施首次攻击的黑客没有再次攻击的动机。

Tiger Global?对冲基金因美国科技股抛售损失约170 亿美元:金色财经报道，根据英国《金融时报》消息，拥有 21 年历史的公司Tiger Global?在今年的科技股抛售中损失了约 170 亿美元。英国《金融时报》指出，这是对冲基金历史上最大的跌幅之一，令人震惊的是，根据 Edmond de Rothschild 集团旗下的对冲基金的计算，Tiger Global 的对冲基金资产遭受重创，以至于该公司在四个月内抹去了大约三分之二的收益。根据同一份投资者信，Tiger Global 拥有去年上市的 38 家公司的股份，包括 Coinbase、Freshworks、SentinelOne 和 Toast，并表示去年向投资者分配了 37 亿美元。[2022/5/11 3:05:41]

CertiK判断后两次攻击是在首次攻击14小时后，利用类似原理实施的模仿攻击。

DeFi安全新挑战

这次的攻击事件主要利用了金融模型设计上的漏洞，而不是代码层面的漏洞。这种由DeFi市场孕育出的新型攻击模式，让大部分区块链安全公司仅有的“代码审计”服务变得毫无用处。

NFT足球游戏CyBall将于今日21时上线导师机制:据官方消息，NFT足球游戏CyBall将于今日21时上线导师机制。该机制允许拥有成熟的CyBlocs资产的玩家培养新的CyBlocs球员，而且在导师培养的过程中，这些新的CyBlocs会一定程度上继承自己导师的特性。玩家将可以通过导师机制，将自己球队中的某些独特特征发扬光大，为今后赢得比赛提供新动力。（blog.cyball.com）[2022/3/22 14:11:27]

只针对代码层面而不能对抽象模型进行分析的、传统的安全技术完全应对不了DeFi带来的新挑战。而没有模型层面保护的DeFi，只能沦为熟知DeFi金融模型的黑客的提款机。

DeFi安全预警是弊大于利吗？

这次的模仿攻击，让很多人对区块链安全公司产生了质疑：安全公司的分析文章会不会教会更多人攻击的方法？为什么各种安全预警没有改善安全环境？我们真的还需要安全预警吗？

CertiK的观点是，不仅需要安全预警，还要做到更快更深入！

不同于传统软件系统，区块链所有的交易、所有的合约调用都是公开透明的。攻击事件发生后，区块链上的交易记录对于黑客而言就是最直白的教科书，区块链安全公司要抢在模仿攻击之前发布预警，保护相关公司。但是最近频繁的攻击事件，再一次证明安全预警是远远不够的，并不能改变当前DeFi乃至整个区块链的安全现状。

澳网：AO Decentraland于1月17日启动，6,776枚AO Art Ball NFT全部售罄:1月17日消息，据澳网公开赛透露，AO Decentraland 将于 2022 年 1 月 17 日启动，与现场锦标赛同步运行至 1 月 30 日。澳大利亚网球项目经理雷德利·普卢默 (Ridley Plummer) 表示，澳大利亚网球公开赛完全沉浸在虚拟世界中（包括展示现场比赛和历史比赛、以及新闻发布会），对于提供更广泛的报道和对赛事活动的访问至关重要，目前已经加快了进入元宇宙的步伐。此外，澳网还披露为观众铸造的 6,776 枚 AO Art Ball NFT 已经以 0.067 ETH 的价格全部售罄。[2022/1/17 8:53:46]

DeFi安全还有机会吗？

为了根本性改变DeFi的安全现状，我们必须针对新型智能合约（比如DeFi、IoT) 引入全新的安全机制。

这种安全机制必须要能进行模型层的分析，必须能够适应新型合约的发展，尽量做到在攻击时拦截，而非在攻击后预警。CertiK团队正在研发基于CertiK Chain的新型安全DeFi机制 —— CeDeFi (Certified DeFi）—— 即可信DeFi，相信可以在未来彻底改变当前被动的安全现状。

火币：北京火币天下网络技术有限公司非huobi global的运营主体，没有开展任何业务故申请注销:7月27日消息，针对“李林拟注销北京火币天下技术网络有限公司”一事，火币向金色财经表示，这是火币早年在北京注册的主体，此机构不是huobi global的运营主体，该主体因没有开展任何业务，没有继续存续的必要，故申请注销。

此前消息，据国家企业信用信息公示系统工商资料显示，北京火币天下网络技术有限公司7月22日因决议解散，拟向公司登记机关申请注销登记，请债权人自公告之日起45日内向清算组申报债权，清算组负责人为李林。[2021/7/27 1:17:27]

攻击还原

以下午11点对Balancer的攻击为例：

步骤1：从dYdX处通过闪电贷形式借得WETH、DAI和USDC三种代币，数额分别是103067.20640667767、5410318.972365872和5737595.813492。

步骤2：使用步骤1中得到的代币，对三种代币 (cETH、cDAI和cUSDC) 进行铸币操作 (mint)。

步骤3：使用uniswap通过闪电贷形式，借得 (borrow) 并铸造 (mint) cWBTC，cBAT代币。

步骤4：携带获得的cWBTC与cBAT加入代币池，此时攻击者拥有的cWBTC和cBAT的数目分别为4955.85562685和55144155.96523628。

步骤5：分别用cWBTC和cBAT在该代币池中进行大量的交易，从而触发Airdrop操作，将无归属的COMP分发到该代币池中。

步骤6：调用gulp()函数将当前的COMP数目同步到Balancer智能合约中，并将cWBTC、cBAT以及额外被加入代币池中的COMP取出。退出代币池时，攻击者拥有的cWBTC和cBAT的数目同样为4955.85562685和55144155.96523628。但是由于在代币池中通过大量交易产生的额外COMP，攻击者获得了额外的COMP代币。此处攻击者还可以选择直接进入其他代币池中，复用步骤1到步骤6的攻击方法，获得额外COMP代币。